态势感知是可视化威胁监测和分析平台。以安全大数据为基础,对能够引起网络态势发生变化的要素进行获取、理解、评估、呈现,并对未来发展趋势进行预测;从全局视角提升对安全威胁的发现识别、理解分析和响应处置;通过智能分析和联动响应,结合机器学习和人工智能等先进技术,生成全方位的安全全景视图,实现全网业务可视和威胁感知。
态势感知服务提供标准版和企业版两种规格。企业版支持综合概览、处置中心、分析中心、资产中心、报表中心、配置中心和应用中心模块功能。标准版仅支持综合概览和处置中心模块功能。
综合概览
从全局风险评估视角展示整网风险。
处置中心
对网络中发生安全事件、存在的风险资产和风险用户进行处置。支持与自有防火墙、IPS设备进行联动,通过黑名单和访问控制策略的自动或手动下发,实现基于安全事件的攻击阻断和告警。
分析中心
提供全网流量分析、场景分析等功能,便于管理员直观掌握全网行为态势。同时,在用户进行调查取证分析时,支持日志智能检索。用户可通过输入关键字条件快速检索到相关的日志和流量元数据,并可以进一步查看日志和流量元数据的详细信息。
资产中心
用于管理区域、资产和用户信息。
报表中心
提供基于风险、流量、行业等多种报表模板,提供多层次、多角度、多种格式、满足不同管理角色需求的详细的分析报表,方便管理员将整网安全状态分析结果生成报表,导出到本地分析。同时,支持客户指定的周期自动生成报表以帮助用户周期回顾安全情况。
配置中心
提供系统基础配置,包括数据源配置、关联规则、情报等配置。
应用中心
提供设备联动功能,并支持用户根据实际需求自行接入其他第三方管理平台。同时,为方便系统运维人员了解全网安全和流量状态,支持移动终端APP功能。运维人员登录APP,可进行系统初始化配置、系统状态查看、威胁统计查看、资产查看及管理、流量分析统计、行为分析统计、策略联动下发等操作。
为了满足多方面、多维度的安全检测需求,安全威胁发现与运营管理平台提供多业务感知引擎,提升对全网风险威胁的检测、判断、识别、预测和告警能力。根据业务场景,不同业务引擎间可模块化组合,协同完成威胁检测、异常发现、攻击溯源、态势呈现和联动响应等功能,同时将机器学习引入多业务感知引擎,可以对海量的安全信息进行自动分析与深度挖掘。
为了全面采集情报、网络、终端等信息,为风险分析提供支撑,安全威胁发现与运营管理平台一方面接入外部威胁情报,另一方面采用主动、被动技术对全网中各种网络设备、安全设备、漏扫设备、互联网爬虫、主机及业务应用系统的异构海量日志进行采集,通过日志范式化处理和日志分类,实现不同厂家日志与系统的快速适配。
基于机器学习和专家系统,对大范围样本数据进行安全分析,利用机器学习算法,建立用户行为、异常流量和威胁攻击等基线,训练出异常流量检测、威胁行为分析和流量趋势预测等模型,同时建立知识库不断优化调整模型,发现威胁并预判趋势。
为了还原攻击链条,完成取证分析,安全威胁发现与运营管理平台以威胁事件为入口,以安全威胁模型为基准,针对攻击全过程中攻击者留下的任意线索进行多维拓展,利用云端丰富的实时威胁情报和本地的网络行为、终端行为、文件信息,对安全事件进行回溯和调查,可视化绘制出完整的攻击链条,覆盖攻击的源头、手段、目标、范围等相关信息,并对被发现的未知威胁进行快速溯源和定性。
为了实现对外部威胁的主动防御,构建“云-网-端”协同的主动防御体系,通过知识库进行策略管理,根据实时场景自适应决策响应,快速生成应急响应预案,主动将安全策略推送给全网关键设备,现有安全硬件网关充当执行单元,通过云端检测与边界防御,实现安全事件的预警、响应和处置。
为了有效监控在网资产运行及风险状态,快速处置故障及风险事件,平台支持基于云计算和容器技术进行微服务的自动部署和动态管理,对关键对象状态进行实时监控,对重要资产进行风险分析,能够快速生成配置策略和任务工单,实现运维的响应和处置。同时支持工单的作业化管理,实现工单的自动触发、派发、跟踪、提醒和关闭。
为了从不同角色、实体维度进行风险呈现,为安全运营提供决策依据,平台支持针对不同角色差异化展示安全风险信息。平台以安全大数据为基础,通过可视化技术,从第三方监督专员、业务运营专员、信息安全专员和IT运维管理员等视角进行风险呈现,从资产/流量/业务/行为等维度形成可视化视图,同时提供丰富多样的数据可视化效果,包括3D图表、雷达图、拓扑图、热度图等样式,实现安全事件多维可视。
在云安全场景中,借助安全威胁发现与运营管理平台可实现如下能力:
租户资产威胁监测
实时监测云租户网络资产,及时响应威胁,保持云网络的健康状态。
云自动化安全运维
基于云计算和容器技术进行微服务的自动部署和动态管理,对关键对象状态进行实时监控,对重要资产进行风险分析,能够快速生成配置策略和任务工单,实现运维的响应和处置。同时支持工单的作业化管理,实现工单的自动触发、派发、跟踪、提醒和关闭。
云安全可视化
提供丰富多样的数据可视化效果,通过大屏展示3D图表、雷达图、拓扑图、热度图等,实现云安全事件多维可视。
定制化报表展示
指定周期自动生成报表以帮助云网络租户掌握安全情况。同时系统提供的报表模板可灵活编辑,用户可根据自身需要在预置的报表展示内容中进行选择、调整顺序,以形成自身需要的报表。
在电子政务网络监测平台场景中,借助安全威胁发现与运营管理平台可实现如下能力:
安全运维一体化
实现运维平台与监测平台资产、安全信息、管理信息同步,实现政务外网资源的统一纳管。
监管流程化
通过工单、短信邮件实现监测流程化,建立应急机制,建设运维知识库,保证IT服务的知识传承有序,常规问题可通过知识库解决,提升效率。
能力定制化
定制对外展示门户;定制智能分析报表,实现数据的汇总分析;定制处置流程,实现安全事件处置可管可控。
安全可视化
构建安全大脑,采集全网事件,掌握全局安全状态,保障安全事件从发现到闭环全流程可管可视。
监防协同化
在监测的基础上,实现自动化防护能力;与终端安全管理、脆弱性发现系统、安全防护设备形成联动,实现快速响应。
资产数据化
梳理资产,将信息系统的基础信息、组件构成、责任单位及人员等信息电子化、数据化。为实现多级单位分级防护流程,划分权责界面奠定基础。
在企业场景中,借助安全威胁发现与运营管理平台可实现如下能力:
平台融合
安全管理平台与网络运维平台相融合,快速发现并定位问题,提升管理效率。
区域管理
按照区域和管理范围划分不同区域,按区域进行监控和管理,提升整体安全性。
定制化展示
根据企业自身需要量身打造定制化大屏,页面风格同企业风格相匹配。
自动化报告
按时生成安全报告发送给相关人员,报告内容可读性强,可指导后续安全加固。
在视频安全场景中,借助安全威胁发现与运营管理平台可实现如下能力:
持续监测
掌握视频专网安全态势
提升视频安全监测能力
直观体现视频安全工作成果
威胁发现
快速发现视频专网安全隐患
提升视频专项安全分析预警能力
威胁情报加强对威胁的多维度信息补充
处置响应
提供安全事件响应处置管理抓手
缩短安全事件响应处置时间
提升视频安全防护策略变更效率
资产风险分析
量化视频资产风险评估
掌握整体视频资产风险走势
掌握全网视频资产脆弱性
在高校场景中,借助安全威胁发现与运营管理平台可实现如下能力:
统一安全防护
通过机器学习、关联分析、情报融合,涵盖攻击、漏洞、外联风险监控,通过自动化编排实现主动防御。
资产梳理及核查
以信息系统为核心,完善的信息系统备案审批流程,上线前的安全核查。
安全运维管理
分级分权管理,定义校级、院级、信息系统及管理员,细粒度角色控制。
事件闭环处置